Uzyskiwanie dostępu do powiadomień o zdarzeniach przy użyciu interfejs Graph API

Dotyczy:

• Microsoft Defender XDR

Powiadomienia ekspertów usługi Defender to zdarzenia wygenerowane na podstawie zagrożeń prowadzonych przez ekspertów usługi Defender w twoim środowisku. Zawierają one informacje dotyczące badania zagrożeń i zalecanych działań dostarczonych przez ekspertów usługi Defender. Teraz możesz uzyskać dostęp do sieci DEN przy użyciu interfejsu API zabezpieczeń programu Microsoft Graph.

Uwaga

Każde zdarzenie w portalu Microsoft Defender jest kolekcją skorelowanych alertów. Dowiedz się więcej

Następujące szczegóły powiadomień ekspertów usługi Defender są dostępne w portalu Microsoft Defender:

• Tytuł zdarzenia — rozpoczyna się od ekspertów usługi Defender w celu odróżnienia powiadomień ekspertów usługi Defender od innych zdarzeń
• Streszczenie — zawiera omówienie podsumowania dochodzenia
• Podsumowanie zaleceń — zawiera listę zalecanych akcji od ekspertów usługi Defender
• Zaawansowane zapytania dotyczące wyszukiwania zagrożeń — wyświetla listę przekonwertowanych zapytań wyszukiwania zagrożeń KQL używanych do badania

W interfejsie API zabezpieczeń programu Microsoft Graph dostępne są również następujące pola:

• Punkt końcowy programu Graph - https://graph.microsoft.com/beta/security/incidents
• Następujące nazwy pól , które odpowiadają podanym wcześniej szczegółom:
  • displayName
  • Opis
  • recommendedActions
  • recommendedHuntingQueries

Uwaga

Te pola będą wkrótce dostępne w punkcie końcowym programu Graph w wersji 1.0. Aby uzyskać więcej informacji, zobacz Interfejs API REST programu Microsoft Graph w wersji 1.0

Podejście do korzystania z powiadomień ekspertów usługi Defender z interfejsu API będzie się różnić w zależności od systemu podrzędnego, którego zamierzasz użyć, i określonych wymagań. Jednak poniższe kroki to podstawowa implementacja ułatwiająca rozpoczęcie pracy:

Począwszy od zdarzeń w interfejs Graph API

1. Pobieranie zdarzeń z interfejsu API zabezpieczeń programu Graph.
2. Sprawdź, czy nie ma nowych zdarzeń, w których nazwa displayName rozpoczyna się od usługi Defender Experts.
3. Kontynuuj czytanie pozostałych pól dla takich zdarzeń.
4. Zsynchronizuj informacje o powiadomieniu ekspertów usługi Defender (DEN) z narzędziem podrzędnym (na przykład ServiceNow).

Począwszy od alertów w interfejs Graph API

1. Uzyskiwanie alertów z interfejsu API zabezpieczeń programu Graph.
2. Sprawdź nowe alerty, w których wykrywanieŹródło rozpoczyna się od microsoftThreatExperts.
3. Wyszukaj odpowiednie zdarzenie, sprawdzając element incidentId wymieniony w alercie.
4. Kontynuuj czytanie pozostałych pól dla takich zdarzeń.
5. Zsynchronizuj informacje o powiadomieniu ekspertów usługi Defender (DEN) z narzędziem podrzędnym (na przykład ServiceNow).

Następny krok

• Współpraca z ekspertami na żądanie

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.